1. INTRODUÇÃO

Esta Política norteará a implementação de medidas de proteção que deverão ser aplicadas a toda e qualquer informação, independentemente de onde ela se encontre, com vistas ao resguardo de imagem e dos objetivos institucionais.

A PAG.AI TECNOLOGIA E INOVAÇÃO S.A entende que a informação corporativa é um bem essencial para suas atividades e para resguardar a qualidade e garantia dos produtos e serviços ofertados a seus clientes.

A PAG.AI TECNOLOGIA E INOVAÇÃO S.A compreende que a manipulação de informações passa por diferentes meios de suporte, armazenamento e comunicação, sendo estes vulneráveis a fatores externos e internos que podem comprometer a segurança das informações corporativas.

Dessa forma PAG.AI TECNOLOGIA E INOVAÇÃO S.A estabelece sua Política Geral de Segurança da Informação, como parte integrante do seu sistema de gestão corporativo, alinhada as boas práticas e normas internacionalmente aceitas, com o objetivo de garantir níveis adequados de confidencialidade, integridade e disponibilidade às informações da organização ou sob sua responsabilidade.

2. PROPÓSITO

Esta Política tem por propósito estabelecer diretrizes e normas de Segurança da Informação que permitam aos colaboradores da PAG.AI TECNOLOGIA E INOVAÇÃO S.A adotar padrões de comportamento seguro,adequados às metas e necessidades da PAG.AI TECNOLOGIA E INOVAÇÃO S.A.

Orientar quanto à adoção de controles e processos para atendimento dos requisitos para Segurança da Informação.

Resguardaras informações da PAG.AI TECNOLOGIA E INOVAÇÃO S.A, garantindo requisitos básicos de confidencialidade, integridade e disponibilidade.

Prevenir possíveis causas de incidentes e responsabilidade legal da instituição e seus colaboradores, clientes e parceiros.

Minimizar os riscos de perdas financeiras, legais, regulatórios, da confiança de clientes ou de qualquer outro impacto negativo no negócio da PAG.AI TECNOLOGIA E INOVAÇÃO S.A como resultado de falhas de segurança.

3. ABRANGÊNCIA

Esta Política se aplica a todos os usuários da informação da PAG.AI TECNOLOGIA E INOVAÇÃO S.A, incluindo qualquer indivíduo ou organização que possui ou possuiu vínculo com a PAG.AI TECNOLOGIA E INOVAÇÃO S.A, tais como colaboradores, ex-colaboradores, prestadores de serviço, ex-prestadores de serviço e parceiros, que possuíram, possuem ou virão a possuir acesso às informações da PAG.AI TECNOLOGIA E INOVAÇÃO S.A e/ou fizeram, fazem ou farão uso de recursos computacionais compreendidos na infraestrutura

PAG.AI TECNOLOGIA E INOVAÇÃO S.A.

4. DIRETRIZES GERAIS

Esta Política define as Diretrizes para a Segurança da Informação e Comunicações, e, aplicam-se às informações armazenadas, acessadas, produzidas e transmitidas pela PAG.AI TECNOLOGIA E INOVAÇÃO S.A, visando preservar a confidencialidade, integridade e disponibilidade das informações, garantindo a gestão sistemática e efetiva de todos os aspectos relacionados à Segurança da Informação, provendo suporte às operações críticas do negócio e minimizando riscos identificados e seus eventuais impactos à instituição.

Esta Política de Segurança da Informação, assim como os demais documentos acessórios que a compõe, regulamentam as atividades a serem seguidas pelos usuários, sendo responsabilidade de cada um o seu cumprimento.

Os recursos de Tecnologia da Informação e Comunicações disponibilizados pela PAG.AI TECNOLOGIA E INOVAÇÃO S.A serão utilizados estritamente para proposito institucional.

É vedado a qualquer usuário da informação da PAG.AI TECNOLOGIA E INOVAÇÃO S.A o uso dos recursos de Tecnologia da Informação e Comunicações para fins pessoais (próprios ou de terceiros), entretenimento, veiculação de opiniões político-partidárias ou religiosas, bem como para perpetrar ações que, de qualquer modo, possam constranger, assediar, ofender, caluniar, ameaçar, violar direito autoral ou causar prejuízos a qualquer pessoa física ou jurídica, assim como aquelas que atentem contra a moral e a ética, ou que prejudiquem o cidadão ou a imagem da instituição, comprometendo a confidencialidade, integridade e disponibilidade das informações.

Os casos omissos e as dúvidas decorrentes da aplicação do disposto nesta Política, devem ser direcionados ao Comitê de Segurança da Informação.

5. DIRETRIZES ESPECIAIS

5.1. Gestão de Segurança da Informação

a) Os mecanismos de proteção utilizados para a Segurança da Informação e Comunicações devem ser mantidos com o objetivo de garantir a continuidade dos negócios da PAG.AI TECNOLOGIA E INOVAÇÃO S.A.

b) As medidas de proteção devem ser planejadas e os gastos da aplicação de controles devem ser compatíveis com o valor do ativo protegido.

c) Elaborar, implantar e seguir por completo políticas, normas e procedimentos de segurança da informação, garantindo que os requisitos básicos de confidencialidade, integridade e disponibilidade da informação da PAG.AI TECNOLOGIA E INOVAÇÃO S.A sejam atingidos através da adoção de controles contra ameaças provenientes de fontes tanto externas quanto internas.

d) Disponibilizar políticas, normas e procedimentos de segurança a todas as partes interessadas e autorizadas, tais como: colaboradores, parceiros, terceiros contratados e, onde pertinente, clientes.

e) Garantir a educação e conscientização sobre as práticas adotadas pela PAG.AI TECNOLOGIA E INOVAÇÃO S.A de Segurança da Informação e Comunicações para Empregados, terceiros contratados e, onde pertinente, clientes.

f) Monitorar o acesso e a utilização de seus ativos tecnológicos, como dos ambientes, equipamentos e sistemas de informação, de forma que ações indesejáveis ou não autorizadas sejam detectadas.

g) Atender integralmente requisitos de segurança da informação aplicáveis ou exigidos por regulamentações, leis e/ou cláusulas contratuais.

h) Tratar integralmente incidentes de Segurança da Informação e Comunicações, garantindo que eles sejam adequadamente registrados, classificados, investigados, corrigidos, documentados e, quando necessário, comunicando as autoridades apropriadas.

i) Garantir a continuidade do negócio através da adoção, implantação, teste e melhoria contínua de planos de continuidade e recuperação de desastres.

j) Auditar periodicamente as práticas de Segurança da Informação e Comunicações, de forma a avaliar a conformidade das ações de seus colaboradores, estagiários, terceiros, fornecedores e parceiros em relação ao estabelecido nesta Política e na legislação aplicável.

k) Melhorar continuamente a Gestão de Segurança da Informação e Comunicações através da definição e revisão sistemática de objetivos de segurança em todos os níveis da organização.

5.2. Papeis e Responsabilidades

5.2.1 Comitê de Tecnologia da Informação

Fica constituído o COMITÊ DE TECNOLOGIA DA INFORMAÇÃO (CTI), contando com a participação do CTO (Chief Technology Office) e de pelo menos, um representante da diretoria, e, um membro sênior das seguintes áreas: Tecnologia da Informação, Segurança da Informação, GRC, Internos, Jurídico.

É responsabilidade do Comitê de Tecnologia da Informação:

a) Analisar, revisar e propor a aprovação de políticas, normas e procedimentos relacionadas à segurança da informação;

b) Garantir a disponibilidade dos recursos necessários para uma efetiva Gestão de Segurança da Informação;

c) Garantir que as atividades de segurança da informação sejam executadas em conformidade com a PSI;

Promover a divulgação da PGSI e tomar as ações necessárias para disseminar uma cultura de segurança da informação no ambiente da PAG.AI TECNOLOGIA E INOVAÇÃO S.A.

Conduzir a Gestão e Operação da segurança da informação, tendo como base esta política e demais resoluções do CTI;

Elaborar e propor as normas e procedimentos de segurança da informação, necessários para se fazer cumprir a PSI;

Identificar e avaliar as principais ameaças à segurança da informação, bem como propor e, quando aprovado, implantar medidas corretivas para reduzir o risco;

Tomar as ações cabíveis para se fazer cumprir os termos desta política;

Realizar a gestão dos incidentes de segurança da informação, garantindo tratamento adequado.

5.2.2 Diretoria Executiva

a) Dar suporte à promoção da cultura de Segurança da Informação e Comunicações;

b) Nomear o Gestor de Segurança da Informação;

c) Aprovar a Política de Segurança da Informação;

d) Aprovar orçamento específico para as ações de Segurança da Informação e Comunicações;

e) Aplicar ações corretivas e disciplinares cabíveis nos casos de quebra em algum dos pilares de segurança da informação.

5.2.3 Gestor de Segurança da Informação

a) Promover e disseminar a cultura de Segurança da Informação;

b) Manter a conformidade com diretrizes regulatórias de segurança da informação exigidos por parte de órgãos reguladores e parceiros de negócios.

c) Coordenar o Comitê de Tecnologia e a equipe de Tratamento e Resposta a Incidentes de Segurança da Informação em Redes de Computacionais;

d) Coordenar ações de Segurança da Informação e Comunicações;

e) Acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança e submeter à Diretoria Executiva o resultado de tais investigações;

f) Propor recursos necessários às ações de Segurança da Informação e Comunicações;

g) Realizar e acompanhar estudos de novas tecnologias, quanto aos possíveis impactos na Segurança da Informação e Comunicações;

h) Propor normas e procedimentos relativos à Segurança da Informação e Comunicações;

i) Encaminhar os resultados consolidados dos trabalhos de auditoria da Gestão de Segurança da Informação e Comunicações à Diretoria Executiva;

j) Prover os meios necessários para capacitação e aperfeiçoamento técnico dos membros do Comitê;

k) Providenciar a divulgação interna desta Política.

5.2.4 Equipe de Tratamento de Incidentes de Segurança da Informação em Redes de Computadores

a) Coordenar atividades de tratamento e resposta a incidentes de Segurança da Informação e Comunicações;

b) Agir proativamente com o objetivo de tratar incidentes de segurança, divulgando boas práticas e recomendações de Segurança da Informação e Comunicações e avaliando condições de segurança de redes por meio de verificações de conformidade;

c) Realizar ações reativas, tais como recebimento de notificações de incidentes, orientação de equipes no reparo a danos e na análise de sistemas comprometidos, avaliando causas e responsáveis;

d) Analisar ataques e intrusões na rede da PAG.AI TECNOLOGIA E INOVAÇÃO S.A;

e) Executar ações necessárias para tratar violações de segurança;

f) Obter informações quantitativas acerca dos incidentes ocorridos, com a descrição da natureza, causa, data da ocorrência, frequência e custos resultantes;

g) Cooperar com outras equipes de tratamento e resposta a incidentes;

5.2.5 Gestores da Informação

a) Gerenciar as informações geradas ou sob a responsabilidade da sua área de negócio durante todo o seu ciclo de vida, incluindo a criação, manuseio e descarte conforme as normas estabelecidas pela PAG.AÍ TECNOLOGIA E INOVAÇÃO S.A;

b) Identificar, classificar e rotular as informações geradas ou sob a responsabilidade da sua área de negócio conforme normas, critérios e procedimentos adotados pela PAG.AÍ TECNOLOGIA E INOVAÇÃO S.A;

c) Periodicamente revisar as informações geradas ou sob a responsabilidade da sua área de negócio, ajustando a classificação e rotulagem destas conforme necessário;

d) Autorizar e revisar os acessos à informação e sistemas de informação sob sua responsabilidade;

e) Solicitar a concessão ou revogação de acesso à informação ou sistemas de informação de acordo com os procedimentos adotados pela PAG.AÍ TECNOLOGIA E INOVAÇÃO S.A.

5.2.6 Usuários da Informação

Compreende-se como usuário da informação: colaboradores, estagiários, terceiros, fornecedores e partes interessadas.

a) Ler, compreender e cumprir integralmente os termos da Política Geral de Segurança da Informação, bem como as demais normas e procedimentos de segurança aplicáveis;

b) Encaminhar quaisquer dúvidas e/ou pedidos de esclarecimento sobre a Política Geral de Segurança da Informação, suas normas e procedimentos ao Comitê de T.I;

c) Comunicar à Gerência de Segurança da Informação qualquer evento que viole esta Política ou coloque/possa vir a colocar em risco a segurança das informações ou dos recursos computacionais da PAG.AÍ TECNOLOGIA E INOVAÇÃO S.A;

d) Assinar o Termo de Uso de Sistemas de Informação da PAG.AÍ TECNOLOGIA E INOVAÇÃO S.A, formalizando a ciência e o aceite integral das disposições da Política Geral de Segurança da Informação, bem como as demais normas e procedimentos de segurança, assumindo responsabilidade pelo seu cumprimento;

e) Responder pela inobservância da Política Geral de Segurança da Informação, normas e procedimentos de segurança, conforme definido no item sanções e punições;

f) Toda informação criada, modificada no exercício das funções e qualquer informação contida em mensagens do correio eletrônico corporativo deve ser tratada como referente ao negócio da PAG.AÍ TECNOLOGIA E INOVAÇÃO S.A, não devendo ser considerada como pessoal, particular ou confidencial, mesmo que arquivadas na sua pasta pessoal;

g) É proibido compartilhar ou negociar suas credenciais (ID, senha e crachá);

h) Os requisitos de Segurança da Informação devem constar nas aquisições e/ou implementações tecnológicas.

6. DIVULGAÇÃO E CONSCIENTIZAÇÃO

A divulgação das regras e orientações de Segurança da Informação aplicadas aos usuários deve ser objeto de campanhas internas permanentes, disponibilização integral e contínua na rede interna, conscientização e quaisquer outros meios, com vistas à criação de uma cultura de segurança da informação no âmbito da PAG.AI TECNOLOGIA E INOVAÇÃO S.A.

Cabe ao Gestor de Segurança da Informação e Comunicações providenciar a divulgação interna desta Política e das normas dela decorrentes, inclusive com publicação a todos os colaboradores, parceiros e partes interessadas através do meio adequado, inclusive com sensibilização, conscientização e capacitação dos usuários sobre os cuidados e deveres relacionados à Segurança da Informação e Comunicações.

7. DIVULGAÇÃO E CONSCIENTIZAÇÃO

a) Todas as garantias necessárias ao cumprimento desta Política estão estabelecidas formalmente com os colaboradores da PAG.AI TECNOLOGIA E INOVAÇÃO S.A;

b) O descumprimento, mesmo que por mera omissão ou tentativa não consumada, desta Política, bem como demais normas e procedimentos de segurança, é considerado uma falta grave e poderá acarretar a aplicação de sanções previstas em Lei ou aplicação de penalidades que incluem advertência verbal, advertência por escrito, suspensão não remunerada e a demissão por justa causa;

c) A aplicação de sanções e punições será realizada conforme a análise do Comitê de T.I, devendo-se considerar a gravidade da infração, efeito alcançado, recorrência e as hipóteses previstas no artigo 482 da Consolidação das Leis do Trabalho, podendo o Comitê de Segurança da Informação, no uso do poder disciplinar que lhe é atribuído, aplicar a pena que entender cabível quando tipificada a falta grave.

d) No caso de terceiros contratados ou prestadores de serviço, o Comitê deve analisar a ocorrência e deliberar sobre a efetivação das sanções e punições conforme termos previstos em contrato;

e) Para o caso de violações que impliquem em atividades ilegais, ou que possam incorrer em dano a PAG.AI TECNOLOGIA E INOVAÇÃO S.A, o infrator será responsabilizado pelos prejuízos, cabendo aplicação das medidas judiciais pertinentes;

f) Observe também todas as disposições constantes no Código de Ética e Conduta.

8. CASOS OMISSOS

a) Os casos omissos serão avaliados pelo Comitê de Segurança da Informação para posterior deliberação.

b) As diretrizes estabelecidas nesta política e nas demais normas e procedimentos de segurança, não se esgotam em razão da contínua evolução tecnológica e constante surgimento de novas ameaças. Desta forma, não se constitui rol enumerativo, sendo obrigação do usuário da informação da PAG.AI TECNOLOGIA E INOVAÇÃO S.A adotar, sempre que possível, outras medidas de segurança além das aqui previstas, com o objetivo de garantir proteção as informações da instituição.

9. TREINAMENTO

a) Um programa de conscientização, educação e treinamento em Segurança da Informação será disponibilizado para os integrantes do Comitê e demais colaboradores para a garantia dos objetivos, princípios e diretrizes definidas nesta Política.

b) Haverá pelo menos um curso por ano abrangendo a Segurança da Informação para todos os funcionários da PAG.AI TECNOLOGIA E INOVAÇÃO S.A participarem. Treinamentos adicionais poderão ocorrer a qualquer momento. Os devidos funcionários devem sempre estar atualizados nos assuntos que tangem a Segurança da Informação. Para isso, serão realizados cursos toda vez que o Comitê de Segurança da Informação julgar necessário.

c) O programa deve ser seguido adequando-se às necessidades e responsabilidades específicas de cada colaborador, estagiários, terceiros, fornecedores e parceiros da PAG.AI TECNOLOGIA E INOVAÇÃO S.A.

d) Da mesma forma, o conteúdo da Política é amplo e constantemente atualizado e divulgado. A releitura desta Política, mesmo que não seja diretamente solicitada, deve ser feita para melhor entendimento. Sua participação é muito importante.

10. ATUALIZAÇÃO E REVISÃO

Esta Política de Segurança da Informação deve seguir o ciclo de melhoria contínua, sendo tema de permanente acompanhamento e aperfeiçoamento, devendo ser revisada a cada 12 (doze) meses ou atualizada imediatamente sempre que houver mudanças significativas nos processos de negócios da organização, visando à melhoria constante dos processos internos.

Os instrumentos normativos gerados a partir desta Política deverão ser revisados sempre que se fizer necessário, em função de alterações na legislação pertinente ou diretrizes regulamentadoras.

11. GLOSSÁRIO

Ameaça: Causa potencial de um incidente, que pode vir a prejudicar a PAG.AI TECNOLOGIA E INOVAÇÃO S.A;

Ativo: Tudo aquilo que possui valor para a PAG.AI TECNOLOGIA E INOVAÇÃO S.A;

Ativo de informação: Patrimônio intangível da PAG.AI TECNOLOGIA E INOVAÇÃO S.A, constituído por suas informações de qualquer natureza, incluindo de caráter estratégico, técnico, administrativo, financeiro, mercadológico, de recursos humanos, legal natureza, bem como quaisquer informações criadas ou adquiridas por meio de parceria, aquisição, licenciamento, compra ou confiadas a instituição por parceiros, clientes, empregados e terceiros, em formato escrito, verbal, físico ou digitalizado, armazenada, trafegada ou transitando pela infraestrutura computacional da instituição ou por infraestrutura externa contratada pela organização, além dos documentos em suporte físico, ou mídia eletrônica transitados dentro e fora de sua estrutura física.

COMITÊ DE T.I – CTI: Grupo de trabalho multidisciplinar permanente, efetivado pela diretoria da PAG.AÍ, que tem por finalidade tratar questões ligadas à Segurança da Informação.

Confidencialidade: Propriedade dos ativos da informação da PAG.AI TECNOLOGIA E INOVAÇÃO S.A, de não serem disponibilizados ou divulgados para indivíduos, processos ou entidades não autorizadas.

Conformidade: Processo de garantia do cumprimento de um requisito, podendo ser obrigações empresariais com as partes interessadas (investidores, empregados, credores etc.) e com aspectos legais e regulatórios relacionados à administração das empresas, dentro de princípios éticos e de conduta estabelecidos pela alta administração da PAG.AI TECNOLOGIA E INOVAÇÃO S.A.

Controle: Medida de segurança adotada pela PAG.AI TECNOLOGIA E INOVAÇÃO S.A para o tratamento de um risco específico.

Disponibilidade: Propriedade dos ativos da informação da PAG.AI TECNOLOGIA E INOVAÇÃO S.A, de serem acessíveis e utilizáveis sob demanda, por partes autorizadas.

Gestor da Informação: Usuário da informação que ocupe cargo específico, ao qual foi atribuída responsabilidade sob um ou mais ativos de informação criados, adquiridos, manipulados ou colocados sob a responsabilidade de sua área de atuação.

Incidente de segurança da informação: Um evento ou conjunto de eventos indesejados de segurança da informação que tem possibilidade significativa de afetar as operações ou ameaçar as informações da PAG.AI TECNOLOGIA E INOVAÇÃO S.A.

Integridade: Propriedade dos ativos da informação da PAG.AI TECNOLOGIA E INOVAÇÃO S.A, de serem exatos e completos.

Risco de segurança da informação: Efeito da incerteza sobre os objetivos de segurança da informação da PAG.AI TECNOLOGIA E INOVAÇÃO S.A.

Segurança da informação: A preservação das propriedades de confidencialidade, integridade e disponibilidade das informações da PAG.AI TECNOLOGIA E INOVAÇÃO S.A.

Usuário da informação: Empregados com vínculo empregatício de qualquer área da PAG.AÍ ou terceiros alocados na prestação de serviços a PAG.AI TECNOLOGIA E INOVAÇÃO S.A, indiferente do regime jurídico a que estejam submetidos, assim como outros indivíduos ou organizações devidamente autorizadas a utilizar manipular qualquer ativo de informação da instituição para o desempenho de suas atividades profissionais.

Vulnerabilidade: Causa potencial de um incidente de segurança da informação, que pode vir a prejudicar as operações ou ameaçar as informações da PAG.AI TECNOLOGIA E INOVAÇÃO S.A.

12. REFERÊNCIAS LEGAIS E NORMATIVAS

Norma ABNT NBR ISO 27001 – Técnicas de segurança – Sistemas de gestão da segurança da informação - Requisitos.

Norma ABNT NBR ISO 27002 – Técnicas de segurança – Código de prática para controles de segurança da informação.

Norma ABNT NBR ISO 27005 – Tecnologia da informação – Técnicas de segurança – Gestão de riscos de segurança da informação.

Norma ABNT NBR ISO 16167 – Diretrizes para classificação, rotulação,tratamento e gestão da informação.

13. ADOÇÃO E EFICÁCIA

Esta Política de Segurança da Informação entra em vigor imediatamente após sua aprovação pelo CEO da PAG.AI TECNOLOGIA E INOVAÇÃO S.A.